Двухфакторная аутентификация на Яндекс диске Неверный пароль. Вход с двухфакторной аутентификацией. Магия, отсутствие пароля, приложения и следующие шаги

Внимание. Приложения, разработанные в Яндексе, требуют одноразового пароля — даже правильно созданные пароли приложений не сработают.

  1. Авторизация с QR-кодом
  2. Перенос Яндекс. Ключ
  3. Мастер-пароль
  4. Как одноразовые пароли зависят от точного времени
Содержание
  1. Войти в сервис Яндекс или приложение
  2. Войти с помощью QR-кода
  3. Вход с учетной записью Яндекса в стороннее приложение или веб-сайт
  4. Перенос Яндекс.. Ключ
  5. Несколько учетных записей в Яндекс.Ключе
  6. Отпечаток пальца вместо пин-кода
  7. Мастер-пароль
  8. Резервное копирование данных Яндекс.Ключа
  9. Создание резервной копии
  10. Войти в сервис Яндекс или приложение
  11. Войти с помощью QR-кода
  12. Вход с учетной записью Яндекса в стороннее приложение или веб-сайт
  13. Перенос Яндекс.Ключа
  14. Несколько учетных записей в Яндекс.Ключе
  15. Отпечаток пальца вместо пин-кода
  16. Мастер-пароль
  17. Яндекс. Резервное копирование данных ключа
  18. Создание резервной копии
  19. Как отключить двухфакторную аутентификацию в Яндексе
  20. Вход в сервис или приложение Яндекса
  21. Авторизация по QR-коду
  22. Вход с учетной записью Яндекса в стороннее приложение или сайт
  23. Перенос Яндекс.Ключа
  24. Несколько учетных записей в Яндекс.Ключе
  25. Отпечаток пальца вместо пин-кода
  26. Мастер-пароль
  27. Резервное копирование данных Яндекс.Ключа
  28. Создание резервной копии
  29. Восстановление из резервной копии
  30. Как одноразовые пароли зависят от точного времени
  31. Вход в сервис или приложение Яндекс
  32. Войти с помощью QR-кода
  33. Вход с учетной записью Яндекса в стороннее приложение или веб-сайт
  34. Перенос Яндекс.. Ключ
  35. Несколько аккаунтов в Яндекс.Ключе
  36. Отпечаток пальца вместо пин-кода
  37. Мастер-пароль
  38. Что нам показалось проблемным в этой схеме?
  39. Разработка нашей системы
  40. Узнайте больше о надежности таких паролей
  41. Магия, отсутствие пароля, приложения и дальнейшие действия
  42. Как это работает?
  43. Как скрыть API-ключ переводчика в android

Войти в сервис Яндекс или приложение

Вы можете ввести одноразовый пароль при любой форме авторизации на Яндексе или в приложениях, разработанных Яндексом.

Примечание.

Одноразовый пароль необходимо вводить вовремя, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторная аутентификация. Приложение начнет генерировать пароли каждые 30 секунд.

Яндекс.Ключ не проверяет введенный вами PIN-код и генерирует одноразовые пароли, даже если вы ввели его неправильно. В этом случае созданные пароли также окажутся неверными, и вы не сможете авторизоваться с ними. Чтобы ввести правильный пин-код, вам просто нужно выйти из приложения и запустить его заново.

Особенности одноразовых паролей:

Войти с помощью QR-кода

Некоторые сервисы (например, домашняя страница Яндекса, Паспорт и Почта) позволяют войти в Яндекс, просто направив камеру на QR-код. Кроме того, ваше мобильное устройство должно быть подключено к Интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

    Щелкните значок QR-кода в браузере.

    Если в форме входа такой иконки нет, то на этом сервисе можно авторизоваться только с паролем. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте, а затем перейти к нужному сервису.

    Введите свой пин-код в Яндекс.Ключ и нажмите Войти с помощью QR-кода.

    Наведите камеру устройства на QR-код, отображаемый в браузере.

Яндекс.Ключ распознает QR-код и отправит ваше имя пользователя и одноразовый пароль к Яндекс.Паспорту. Если они пройдут тест, вы автоматически войдете в свой браузер. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели ПИН-код в Яндекс.Ключе), браузер выдаст стандартное сообщение о неверном пароле.

Вход с учетной записью Яндекса в стороннее приложение или веб-сайт

Приложения или сайты, которым требуется доступ к вашим данным на Яндексе, иногда требуют, чтобы вы вводили пароль для входа в свою учетную запись. В таких случаях одноразовые пароли работать не будут — для каждого такого приложения необходимо создать отдельный пароль приложения.

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, вы не сможете авторизоваться с ним.

Перенос Яндекс.. Ключ

Вы можете перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Контроль доступа и нажмите Замена устройства.

Несколько учетных записей в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для несколько учетных записей с одноразовыми паролями. Чтобы добавить еще одну учетную запись в приложение, при настройке одноразовых паролей на шаге 3 щелкните значок в приложении. Кроме того, вы можете добавить в Яндекс.Ключ генерацию пароля для других сервисов, поддерживающих эту двухфакторную аутентификацию. Инструкции для наиболее популярных сервисов приведены на странице о создании проверочных кодов не для Яндекс.

Чтобы убрать привязку вашего аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении до тех пор, пока справа от него появляется крест. При нажатии на крестик привязка вашего аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа в Яндекс. В этом случае потребуется восстановить доступ.

Отпечаток пальца вместо пин-кода

Вы можете использовать свой отпечаток пальца вместо пин-кода на следующих устройствах:

    смартфоны под управлением android 6.0 и сканер отпечатков пальцев;

    iPhone от 5s;

    iPad от Air 2.

Примечание.

На смартфонах и планшетах iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите главный пароль или измените пароль на более сложный: откройте приложение «Настройки» и выберите Touch ID и пароль.

Чтобы использовать активацию проверки отпечатка пальца:

Мастер-пароль

Чтобы еще больше защитить свои одноразовые пароли, создайте мастер-пароль: → Мастер-пароль.

С помощью мастер-пароля вы можете:

    позволяет вводить только мастер-пароль Яндекс.Ключа вместо отпечатка пальца, а не код блокировки устройства;

Резервное копирование данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить ее, если вы потеряли телефон или планшет с приложением. Данные всех учетных записей, добавленных в Ключ во время создания копии, копируются на сервер. Вы не можете создать более одной резервной копии, каждая последующая копия данных для определенного номера телефона заменяет предыдущую.

Чтобы получить данные из резервной копии, вам необходимо:

    иметь доступ к номеру телефона, который вы указали при его создании;

    запомните пароль, который вы установили для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для создания одноразовых паролей. Вы должны запомнить ПИН-код, который вы установили при включении одноразовых паролей на Яндексе.

Удалить резервную копию с сервера Яндекса пока нельзя.. Он будет удален автоматически, если вы не воспользуетесь им в течение года после его создания.

Создание резервной копии

    Выберите элемент Создать резервную копию в настройки приложения.

    Введите номер телефона, к которому будет привязана резервная копия (например, «71234567890», «380123456789»), и нажмите «Далее».

    Яндекс пришлет код подтверждения на введенный номер телефона. Получив код, введите его в приложение.

    Придумайте пароль, который зашифрует резервную копию ваших данных. Этот пароль невозможно восстановить, поэтому убедитесь, что вы не забыли и не потеряли его.

    Дважды введите пароль и нажмите Готово. Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и уведомит об этом.

Внимание. Приложения, разработанные в Яндексе, требуют одноразового пароля — даже правильно созданные пароли приложений не сработают.

  1. Авторизация с QR-кодом
  2. Перенос Яндекс. Ключ
  3. Мастер-пароль
  4. Как одноразовые пароли зависят от точного времени

Войти в сервис Яндекс или приложение

Вы можете ввести одноразовый пароль при любой форме авторизации на Яндексе или в приложениях, разработанных Яндексом.

Примечание.

Одноразовый пароль необходимо вводить вовремя, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторная аутентификация. Приложение начнет генерировать пароли каждые 30 секунд.

Яндекс.Ключ не проверяет введенный вами PIN-код и генерирует одноразовые пароли, даже если вы ввели его неправильно. В этом случае созданные пароли также окажутся неверными, и вы не сможете авторизоваться с ними. Чтобы ввести правильный пин-код, вам просто нужно выйти из приложения и запустить его заново.

Особенности одноразовых паролей:

Войти с помощью QR-кода

Некоторые сервисы (например, домашняя страница Яндекса, Паспорт и Почта) позволяют войти в Яндекс, просто направив камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к Интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

    Щелкните значок QR-кода в браузере.

    Если такого значка в форме входа нет, то эту службу можно авторизовать только с паролем. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте, а затем перейти к нужному сервису.

    Введите свой пин-код в Яндекс.Ключ и нажмите Войти с помощью QR-кода.

    Наведите камеру устройства на QR-код, отображаемый в браузере.

Яндекс.Ключ распознает QR-код и отправит ваше имя пользователя и одноразовый пароль к Яндекс.Паспорту. Если они пройдут тест, вы автоматически войдете в свой браузер.. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели ПИН-код в Яндекс.Ключе), браузер выдаст стандартное сообщение о неверном пароле.

Вход с учетной записью Яндекса в стороннее приложение или веб-сайт

Приложения или сайты, которым требуется доступ к вашим данным на Яндексе, иногда требуют, чтобы вы вводили пароль для входа в свою учетную запись. В таких случаях одноразовые пароли работать не будут — для каждого такого приложения необходимо создать отдельный пароль приложения.

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, вы не сможете войти с ним.

Перенос Яндекс.Ключа

Вы может перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Контроль доступа и нажмите Замена устройства.

Несколько учетных записей в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для несколько учетных записей с одноразовыми паролями. Чтобы добавить еще одну учетную запись в приложение, при настройке одноразовых паролей на шаге 3 щелкните значок в приложении. Кроме того, вы можете добавить в Яндекс.Ключ генерацию пароля для других сервисов, поддерживающих эту двухфакторную аутентификацию. Инструкции для наиболее популярных сервисов приведены на странице о создании проверочных кодов не для Яндекс.

Чтобы убрать привязку вашего аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении до тех пор, пока справа от него появляется крест. При нажатии на крестик привязка вашего аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа в Яндекс. В этом случае потребуется восстановить доступ.

Отпечаток пальца вместо пин-кода

Вы можете использовать свой отпечаток пальца вместо пин-кода на следующих устройствах:

    смартфоны под управлением Android 6.0 и сканер отпечатков пальцев;

    iPhone от 5s;

    iPad от Air 2.

Примечание.

На смартфонах и планшетах iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите главный пароль или измените пароль на более сложный: откройте приложение «Настройки» и выберите Touch ID и пароль.

Чтобы использовать активацию проверки отпечатка пальца:

Мастер-пароль

Чтобы еще больше защитить свои одноразовые пароли, создайте мастер-пароль: → Мастер-пароль.

С помощью мастер-пароля вы можете:

    позволяет вводить только мастер-пароль Яндекс.Ключа вместо отпечатка пальца, а не код блокировки устройства;

Яндекс. Резервное копирование данных ключа

Вы можете создать резервную копию данных ключа на сервере Яндекса, чтобы иметь возможность восстановить ее, если вы потеряли телефон или планшет с приложением. Данные всех учетных записей, добавленных в Ключ во время создания копии, копируются на сервер. Вы не можете создать более одной резервной копии, каждая последующая копия данных для определенного номера телефона заменяет предыдущую.

Чтобы получить данные из резервной копии, вам необходимо:

    иметь доступ к номеру телефона, который вы указали при его создании;

    запомните пароль, который вы установили для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для создания одноразовых паролей. Необходимо запомнить ПИН-код, который вы установили при включении одноразовых паролей на Яндексе.

Удалить резервную копию с сервера Яндекса пока нельзя. Он будет удален автоматически, если вы не воспользуетесь им в течение года после его создания.

Создание резервной копии

    Выберите элемент Создать резервную копию в настройки приложения.

    Введите номер телефона, к которому будет привязана резервная копия (например, «71234567890», «380123456789»), и нажмите «Далее».

    Яндекс пришлет код подтверждения на введенный номер телефона. Получив код, введите его в приложение.

    Придумайте пароль, который зашифрует резервную копию ваших данных. Этот пароль невозможно восстановить, поэтому убедитесь, что вы не забыли и не потеряли его.

    Дважды введите пароль и нажмите Готово. Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и уведомит об этом.

Всем привет еще раз. Согласитесь, самое главное при работе в Интернете — это безопасность. Ей нужно уделить особое внимание. При регистрации на важном сайте вы должны создать надежный пароль или использовать. Потому что чем сложнее будет комбинация букв и цифр, тем труднее будет взломать ее злоумышленникам. Однако бывают случаи, когда хакерам удается получить доступ к вашей учетной записи, например, к вашей личной почте. Это очень печально: важная информация может попасть в чужие руки и может быть использована против вас, переписка с вашими партнерами может быть полностью удалена и т. Д. Короче говоря, ваш аккаунт нужно защищать как зеницу ока.

Для повышения безопасности многие службы предлагают двухфакторную аутентификацию. Сегодня мы рассмотрим, что это такое, на примере почты Яндекс.

При включении этой функции злоумышленник, даже если он правильно выберет ваш основной пароль, не сможет проникнуть в ваш почтовый ящик … Так как для этого вам нужно будет указать случайный одноразовый пароль, который генерирует специальное приложение на вашем смартфоне или планшете. Сейчас мы постараемся подробно рассказать, как включить двухфакторную аутентификацию в Яндекс. В будущем аналогичный обзор будет на Google Mail и Mail.ru.

Итак, для подключения этой функции нам понадобится смартфон или планшет.. Заходим в ваш почтовый ящик на Яндексе. Если у вас его еще нет, создайте его. Как? Прочтите.

После того, как мы вошли в нашу учетную запись, мы нажимаем на нашу учетную запись и выбираем пункт « Управление учетной записью »

Откроется Яндекс-паспорт со всевозможными настройками. В блоке « Контроль доступа « Перейдите по ссылке » Настроить двухфакторную аутентификацию »

Теперь нам нужно пройти 4 шага.

Шаг 1. Подтверждение номера телефона .

Ваша учетная запись после включения новой функции будет привязана к вашему номеру телефона. Поэтому укажите номер, к которому у вас есть свободный доступ. После этого нажимаем на кнопку « чтобы получить код »

Через пару секунд придет СМС, где код, который мы вводим поле будет указано …

… и нажмите « Подтвердить »

Шаг 2. Пин-код .

Для того, чтобы приложение могло генерировать одноразовый пароль, вам необходимо ввести пин-код , тот, который мы сейчас укажем. Внимание !!! Запомните этот код и никому его не сообщайте. Даже если ваш телефон украден, злоумышленники не смогут использовать это приложение, не зная вашего PIN-кода.

Введите PIN-код и повторите попытку. Чтобы открыть символы, нажмите на глаз. Таким образом, вы можете убедиться, что набрали все правильно. И нажимаем « Создать ».

Шаг 3. Мобильное приложение Яндекс Ключ.

На этом этапе нам необходимо установить то самое приложение, которое будет создавать одноразовые пароли . Нажмите кнопку « Получить ссылку на телефон ».

Переходим по нему. В телефоне Android автоматически откроется сервис Google Play с предложением установить приложение Яндекс Ключ. Устанавливаем.

Открываем Яндекс Ключ. После нескольких вводных страниц вам будет предложено отсканировать QR-код. Приложение запросит разрешение на доступ к вашей камере. Мы согласны. Далее наводим камеру на экран монитора так, чтобы квадрат с QR-кодом попал в объектив камеры. Приложение автоматически просканирует и добавит вашу учетную запись. Если сканирование не удалось, можно ввести закрытый ключ. Для его просмотра щелкните ссылку « Показать секретный ключ » под QR-кодом. В приложении также выберите способ ввода секретного ключа.

Теперь перейдем к следующему шагу.

Шаг 4. Ввод одноразовый пароль от ключа Яндекса .

Запускаем наше приложение на нашем гаджете. Теперь вам нужно будет ввести свой пин-код. А после вы увидите тот же случайный одноразовый пароль.

Пароль обновляется каждые 30 секунд. Поэтому успейте ввести его в перед обновлением и нажмите кнопку « Включить ».

Вот и все, мы включили двухфакторную аутентификацию для нашего Яндекс.

Давайте посмотрим, как это работает. Выходим из текущего аккаунта.

Теперь можете войти на свой счет 2 способами. 1) введите свой логин (или адрес электронной почты Яндекс), а затем введите НЕ тот пароль, который мы использовали раньше, постоянный, а тот, который мы получаем в мобильном приложении Яндекс ключ после ввода пин-кода. И нажмите кнопку входа в систему. Второй способ подразумевает вход с помощью QR-кода … Нажмите на значок QR-кода (справа от кнопки входа).

Тогда мы попадаем на эту страницу

Мы следуйте инструкциям: запустите Яндекс Ключ, введите наш пин-код и выберите « Войти с QR-кодом »

Затем наводим камеру планшета или телефона на QR-код. Приложение сканирует код и мы получаем доступ к своей почте.

Как отключить двухфакторную аутентификацию в Яндексе

Если по каким-то причинам вы решили отключить двухфакторную аутентификацию. факторная аутентификация, то это можно сделать быстро и легко. Заходим в свой почтовый ящик, заходим в Управление учетной записью (см. Где и как это сделать в начале этой статьи) и отключаем эту функцию.

На следующем шаге нам нужно ввести одноразовый пароль из приложения Яндекс Ключ

Вводим его и подтверждаем.

Мы создаем новый пароль (на этот раз постоянный), повторяем его и сохраняем.

Вот и все, теперь наша двухфакторная аутентификация отключена. Постоянный пароль, созданный на предыдущем шаге, будет использоваться для входа в систему.

Итак, сегодня мы рассмотрели, как сделать нашу учетную запись Яндекс почты более безопасной, подключив к ней двухфакторную аутентификацию. Вы пользуетесь этой функцией? Делитесь в комментариях.

И на сегодня все. До следующего раза!

У каждого человека должна быть мечта. Сон — это то, что движет человеком. Когда ты маленький, ты мечтаешь вырасти. Мечта должна сначала стать целью. Тогда вы должны достичь своей цели. И у вас должна быть новая мечта!

Звезда Зворотного «>», «icon»: «//yastatic. net/iconostasis/_/qOYT2LWpAjy_Ig4gGx3Kn6YO9ZE.svg «,» type «:» service «,» id «: 96,» slug «:» паспорт «, nameKey» «:» 96_name «),» alerts «:,» documentPath » : «паспорт/авторизация/twofa-login.html», «doccenter» 🙁 «html_heads» 🙁 «sources» 🙁 «meta» 🙁 «copyright»: «(C) Copyright 2019», «DC.rights. owner «:» (C) Copyright 2019 «,» DC.Type «:» concept «,» DC.Relation «:» ../authorization/twofa. html «,» prodname «:» Passport «,» DC.Format «:» XHTML «,» DC.Identifier «:» twoofa-login «,» DC.Language «:» ru «,» generator «:» Yandex Yoda DITA «,» topic_id «:» twoofa-login «,» topic_name «:» «,» doc_id «:» паспорт-руководство «,» doc_name «:» Help «,» component_id «:» «,» component_name «:» «,» product_id «:» паспорт «,» product_name «:» Паспорт «,» описание «:» «,» продукт «:» паспорт «,» настоящее_имя_продукта «:» Паспорт «,» группа_документов «:» паспорт-руководство «,» имя_группы_документов «:» паспорт-руководство «,» имя_секции «: «Вход с двухфакторной аутентификацией», «langs»: «uk ru»), «title»: «Вход с двухфакторной аутентификацией «,» js «: [«//yastatic.net/s3/locdoc/static/doccenter/2.257.0/b undles/index/_index.ru.no-bem.js «],» inlineJs «:,» css «: [«//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index .bidi.css «],» common «:(» js «: [» //yastatic.net/jquery/1.12.4/jquery.min.js «]),» legacy «:(» js «: [«//yastatic.net/es5-shims/0.0.1/es5-shims. min.js «†,» css «:»//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8.css «])),» meta «:» \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \ n \: «Регистрация в с двухфакторной аутентификацией «),» menu «:» «,» document «:»

  1. Войти с помощью QR-кода
  2. Перенос Яндекс .Key
  3. Мастер-пароль

Вход в сервис или приложение Яндекса

Вы можете ввести одноразовый пароль при любой форме авторизации на Яндексе или в приложениях, разработанных Яндексом.

Примечание.

Авторизация по QR-коду

    Паспорт

Вход с учетной записью Яндекса в стороннее приложение или сайт

пароль приложения.

Перенос Яндекс.Ключа

Вы можете перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу Контроль доступа и нажмите Замена устройства.

Несколько учетных записей в Яндекс.Ключе

с настройкой одноразовых паролей.

восстановить доступ.

Отпечаток пальца вместо пин-кода

    iPhone от 5s;

    iPad из Air 2.

Примечание.

мастер-пароль

Мастер-пароль

С помощью мастер-пароля вы можете:

    разрешить вводить только мастер-пароль Яндекс.Ключа вместо отпечатка пальца, а не код блокировки устройства;

Резервное копирование данных Яндекс.Ключа

Вы можете создать резервную копию данных Ключа на сервере Яндекса, чтобы иметь возможность восстановить ее, если вы потеряли свой телефон или планшет с приложением. Данные всех учетных записей, добавленных в Ключ во время создания копии, копируются на сервер. Вы не можете создать более одной резервной копии, каждая последующая копия данных для определенного номера телефона заменяет предыдущую.

Чтобы получить данные из резервной копии, вам необходимо:

    иметь доступ к номеру телефона, который вы указали при его создании;

    запомните пароль, который вы установили для шифрования резервной копии.

Внимание. Резервная копия содержит только логины и секреты, необходимые для создания одноразовых паролей. Необходимо запомнить ПИН-код, который вы установили при включении одноразовых паролей на Яндексе.

Удалить резервную копию с сервера Яндекса пока нельзя. Он будет удален автоматически, если вы не воспользуетесь им в течение года после его создания.

Создание резервной копии

    Выберите элемент Создать резервную копию в настройки приложения.

    Введите номер телефона, к которому будет привязана резервная копия (например, «380123456789»), и нажмите «Далее».

    Яндекс пришлет подтверждение код на введенный номер телефона. Получив код, введите его в приложение.

    Придумайте пароль, который зашифрует резервную копию ваших данных. Этот пароль невозможно восстановить, поэтому убедитесь, что вы не забыли и не потеряли его.

    Дважды введите пароль и нажмите Готово. Яндекс.Ключ зашифрует резервную копию, отправит ее на сервер Яндекса и уведомит об этом.

Восстановление из резервной копии

    В настройках приложения выберите пункт «Восстановить из резервной копии».

    Введите номер телефона, который вы использовали при создании резервной копии (например, «380123456789»), и нажмите «Далее».

    Если для указанного номера будет найдена резервная копия данных Ключа, Яндекс отправит на этот номер код подтверждения. Получив код, введите его в приложение.

    Убедитесь, что дата и время резервного копирования и имя устройства соответствуют резервной копии, которую вы хотите использовать. Затем нажмите кнопку «Восстановить».

    Введите пароль, который вы установили при создании резервной копии. Если вы его не запомните, к сожалению, расшифровать резервную копию будет невозможно.

    Яндекс.Ключ расшифрует данные резервной копии и уведомит о том, что данные восстановлены.

Как одноразовые пароли зависят от точного времени

При генерации одноразовых паролей Яндекс.Ключ учитывает текущее время и время зона, установленная на устройстве. При наличии подключения к Интернету Ключ также запрашивает точное время с сервера: если время установлено на устройстве неправильно, приложение исправит его. Но в некоторых ситуациях даже после внесения поправок и с правильным ПИН-кодом одноразовый пароль будет неверным.

Если вы уверены, что вводите ПИН-код и пароль правильно, но вы не удается войти в систему:

    Убедитесь, что на вашем устройстве указаны правильное время и часовой пояс. После этого попробуйте войти в систему с новым одноразовым паролем.

    Подключите устройство к Интернету, чтобы Яндекс.Ключ мог сам узнать точное время. Затем перезапустите приложение и попробуйте ввести новый одноразовый пароль.

Если проблема не решена, обратитесь в службу поддержки, используя форму ниже.

Оставить отзыв о двухфакторной аутентификации

\ n «,» minitoc «: [(» text «:» Войти в сервис или приложение Яндекса «,» href «:» # login » ), («text»: «Войти с помощью QR-кода», «href»: «# qr»), («text»: «Войти с учетной записью Яндекса в стороннее приложение или сайт», «href»: «# сторонний»), («text»: «Перенос Яндекс.Ключа», «href»: «# concept_mh4_sxt_s1b»), («text»: «Несколько аккаунтов в Яндекс.Ключе», «href»: «# more-accounts «), (» text «:» Отпечаток пальца вместо PIN-кода «,» href «:» # touch-id «), (» text «:» Главный пароль «,» href «:» # master- pass «), (» text «:» Резервная копия данных Яндекс.Ключа «,» href «:» # backup «), (» text «:» Как одноразовые пароли зависят от точного времени «,» href » : «# time»)], «mobile_menu»: «», «prev_next» 🙁 «prevItem»: («disabled»: false, «title»: «Электронная почта логин «,» ссылка «:»/support/паспорт/mail-login.html «),» nextItem «:(» disabled «: false,» title «:» Связывание номеров телефонов «,» link «:»/support/ Паспорт/авторизация/phone.html «)),» хлебные крошки «: [(» url «:»/support/паспорт/auth.html «,» title «:» Войти в Яндекс «), (» url «:»/ support/паспорт/авторизация/twofa-login.html «,» title «:» Вход с двухфакторной аутентификацией «)],» полезные_ссылки «:» «,» meta «:(» copyright «:» (C) Copyright 2019 »,« DC.rights.owner »:« (C) Copyright 2019 »,« DC.Type »:« concept »,« DC.Relation »:« ../authorization/twofa. html «,» prodname «:» Passport «,» DC.Format «:» XHTML «,» DC.Identifier «:» twoofa-login «,» DC.Language «:» ru «,» generator «:» Яндекс Йода DITA «,» topic_id «:» два-логина «,» topic_name «:» Вход с двухфакторной аутентификацией «,» doc_id «:» паспорт-гид «,» doc_name «:» Help «,» component_id «:» » , «имя_компонента»: «», «product_id»: «», «product_name»: «Паспорт», «description»: «Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в приложениях, разработанных Яндексом. «,» Продукт «:» паспорт «,» product_realname «:» Паспорт «,» doc_group «:» паспорт-руководство «,» doc_group_name «:» паспорт-руководство «,» section_name «:» Вход с двухфакторной аутентификацией «,» langs «:» uk ru «),» voter «:»

Была ли статья полезной?

Нет Да

Поясните, пожалуйста, почему:

    Мне не нравится, как это работает

    содержание статьи не соответствует заголовку

    текст трудно понять

    нет ответа на мой вопрос

    другая причина

Спасибо за отзывы!

Расскажите, что вам не понравилось в статье:

Отправить сообщение

«,» lang » 🙁 «текущий»: «ru», «available»: [«ru», «uk»])), «extra_meta»: [(«tag»: «meta», «attrs» 🙁 «name»: » copyright «,» content «:» (C) Copyright 2019 «)), (» tag «:» meta «,» attrs «:(» name «:» DC.rights.owner «,» content «:» (C ) Copyright 2019 »)), (« tag »:« meta »,« attrs »:(« name »:« DC.Type »,« content »:« concept »)), (« tag »:« meta », «attrs» 🙁 «name»: «DC .Relation «,» content «:» ../authorization/twofa.html «)), (» tag «:» meta «,» attrs «: (» name «:» prodname «,» content «:» Паспорт «) )), («tag»: «meta», «attrs» 🙁 «name»: «DC.Format», «content»: «XHTML»)), («tag»: «meta», «attrs»: («name»: «DC.Identifier», «content»: «twoofa-login»)), («tag»: «meta», «attrs» 🙁 «name»: «DC. Language «,» content «:» ru «)), (» tag «:» meta «,» attrs «:(» name «:» generator «,» content «:» Yandex Yoda DITA «)), (» tag «:» meta «,» attrs «:(» name «:» topic_id «,» content «:» twoofa-login «)), (» tag «:» meta «,» attrs «:(» name «:» topic_name «,» content «:» Вход с двухфакторной аутентификацией «)), (» tag «:» meta «,» attrs «:(» name «:» doc_id «,» content «:» паспорт-справочник » )), («tag»: «meta», «attrs» 🙁 «name»: «doc_name», «content»: «Help»)), («tag»: «m eta», «attrs» 🙁 «name»: «component_id», «content»: «»)), («tag»: «meta», «attrs» 🙁 «name»: «component_name», «content»: «»)), (» tag «:» meta «,» attrs «:(» name «:» product_id «,» content «:» паспорт «)), (» tag «:» meta «,» attrs «:(» name «:» product_name «,» content «:» Passport «)), (» tag «:» meta «,» attrs «:(» name «:» description «,» content «:» Вы можете ввести одноразовый пароль в любой форме авторизация на Яндексе или в приложениях, разработанных Яндексом. «)), (» tag «:» meta «,» attrs «:(» name «:» product «,» co ntent «:» паспорт «)), (» tag «:» meta «,» attrs «:(» name «:» product_realname «,» content «:» Passport «)), (» tag «:» meta «, «attrs» 🙁 «имя»: «doc_group», «content»: «паспорт-руководство»)), («tag»: «meta», «attrs» 🙁 «name»: «doc_group_name», «content» : «паспорт-руководство»)), («тег»: «мета», «атрибуты» 🙁 «имя»: «имя_секции», «контент»: «Вход с двухфакторной аутентификацией»)), («тег» : «meta», «attrs» 🙁 «name»: «langs», «content»: «uk ru»))], «title»: «Логин с двухфакторной аутентификацией — Passport. Help »,« productName »:« Passport »,« extra_js »: [[(« elem »:« js »,« url »:«//yastatic.net/jquery/1.12.4/jquery.min.js », «block»: «b-page», «elemMods» :(), «mods» 🙁 «html-only»: «»), «__ func136»: true, «tag»: «script», «bem» : false, «attrs» 🙁 «src»: «//yastatic.net/jquery/1.12.4/jquery.min. js «,» nonce «:» zRix3ekbWgiGTy + yQe2ohA = = «),» __ func67 «: true)], [(» elem «:» js «,» url «:»//yastatic.net/s3/locdoc /static/doccenter/2.257.0/bundles/index/_index.ru.no-bem.js «,» block «:» b-page «,» elemMods «:(),» mods «:(» html-only «:» «),» __ func136 «: true,» tag «:» script «,» bem «: false,» attrs «:(» src «:»//yastatic.net/s3/locdoc/static/doccenter /2. 257.0/bundles/index/_index.ru.no-bem.js «,» nonce «:» zRix3ekbWgiGTy + yQe2ohA = = «),» __ func67 «: true)], [(» elem «: «js», «url»: «//yastatic.net/es5-shims/0.0.1/es5-shims.min.js»,»block»:»b-page»,»elemMods» :(), » mods «:(» html -only «:» «),» __ func136 «: true,» tag «:» script «,» bem «: false,» attrs «:(» src «:»//yastatic.net /es5-shims/0.0. 1/es5-shims.min.js «,» nonce «:» zRix3ekbWgiGTy + yQe2ohA = = «),» __ func67 «: true)]],» extra_css «: [, [ («elem»: «css», «ie»:, «url»: «//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css»,»block «:» b-page «,» elemMods «:(),» mods «:(» html-only «:» «),» __ func69 «: true,» __ func68 «: true,» bem «: false,» tag «:» ссылка «,» attrs «:(» rel » : «таблица стилей», «href»: «//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.css»))], [(«elem»: «css «,» ie «:» lte IE 8 «,» url «:»//yastatic.net/s3/locdoc/static/doccenter/2.257.0/bundles/index/_index.bidi.ie8. css «,» block «:» b-page «,» elemMods «:(),» mods «:(» html-only «:» «),» __ func69 «: true,» __ func68 «: true,» bem «: false,» tag «:» link «,» attrs «:(» rel «:» styles heet «,» href «:»//yastatic.net/s3/locdoc/static/doccenter/2.257.0/ bundles/index/_index.bidi.ie8.css «))»>, «csp» 🙁 «script -src» :), «lang»: «ru»))) «>

Русский

Русский

Украинский

Для авторизации в сторонних приложениях и программах (почтовые клиенты, мессенджеры, сборщики почты и т. д.) следует использовать пароли приложений.

Внимание. Приложения, разработанные в Яндексе, требуют одноразового пароля — даже правильно созданные пароли приложений работать не будут.

  1. Авторизация в сервисе или приложении Яндекс.
  2. Вход с помощью QR-кода
  3. Вход в стороннее приложение или на сайт со своей учетной записью Яндекса
  4. Перенос Яндекса. Ключ
  5. Несколько учетных записей в Яндекс.Ключе
  6. Отпечаток пальца вместо пин-кода
  7. Мастер-пароль
  8. Резервное копирование данных Яндекс.Ключа
  9. Как одноразовые пароли зависят от точного времени

Вход в сервис или приложение Яндекс

Вы можете ввести одноразовый пароль в любой форме авторизации на Яндексе или в приложениях, разработанных Яндексом.

Примечание.

Одноразовый пароль обязательно быть введенным вовремя, пока он отображается в приложении. Если до обновления осталось слишком мало времени, просто дождитесь нового пароля.

Чтобы получить одноразовый пароль, запустите Яндекс.Ключ и введите пин-код, который вы задали при настройке двухфакторная аутентификация. Приложение начнет генерировать пароли каждые 30 секунд.

Яндекс.Ключ не проверяет введенный вами PIN-код и генерирует одноразовые пароли, даже если вы ввели его неправильно. В этом случае созданные пароли также окажутся неверными, и вы не сможете авторизоваться с ними. Чтобы ввести правильный пин-код, вам просто нужно выйти из приложения и запустить его заново.

Особенности одноразовых паролей:

Войти с помощью QR-кода

Некоторые сервисы (например, домашняя страница Яндекса, Паспорт и Почта) позволяют войти в Яндекс, просто направив камеру на QR-код. При этом ваше мобильное устройство должно быть подключено к Интернету, чтобы Яндекс.Ключ мог связаться с сервером авторизации.

    Щелкните значок QR-кода в браузере.

    Если такого значка в форме входа нет, то эту службу можно авторизовать только с паролем. В этом случае вы можете авторизоваться с помощью QR-кода в Паспорте, а затем перейти к нужному сервису.

    Введите свой пин-код в Яндекс.Ключ и нажмите Войти с помощью QR-кода.

    Наведите камеру вашего устройства на QR-код, отображаемый в браузере.

Яндекс.Ключ распознает QR-код и отправит ваш логин и одноразовый пароль в Яндекс.Паспорт. Если они пройдут тест, вы автоматически войдете в свой браузер. Если переданный пароль окажется неверным (например, из-за того, что вы неправильно ввели ПИН-код в Яндекс.Ключе), браузер выдаст стандартное сообщение о неверном пароле.

Вход с учетной записью Яндекса в стороннее приложение или веб-сайт

Приложения или сайты, которым требуется доступ к вашим данным на Яндексе, иногда требуют, чтобы вы вводили пароль для входа в свою учетную запись. В таких случаях одноразовые пароли работать не будут — для каждого такого приложения необходимо создать отдельный пароль приложения.

Внимание. В приложениях и сервисах Яндекса работают только одноразовые пароли. Даже если вы создадите пароль приложения, например, для Яндекс.Диска, вы не сможете авторизоваться с ним.

Перенос Яндекс.. Ключ

Вы можете перенести генерацию одноразовых паролей на другое устройство или настроить Яндекс.Ключ на нескольких устройствах одновременно. Для этого откройте страницу и нажмите кнопку «Замена устройства».

Несколько аккаунтов в Яндекс.Ключе

Один и тот же Яндекс.Ключ можно использовать для несколько учетных записей с одноразовыми паролями. Чтобы добавить еще одну учетную запись в приложение, при настройке одноразовых паролей на шаге 3 щелкните значок в приложении. Кроме того, вы можете добавить в Яндекс.Ключ генерацию пароля для других сервисов, поддерживающих эту двухфакторную аутентификацию. Инструкции для наиболее популярных сервисов приведены на странице о создании проверочных кодов не для Яндекс.

Чтобы убрать привязку вашего аккаунта к Яндекс.Ключу, нажмите и удерживайте соответствующий портрет в приложении до тех пор, пока справа от него появляется крест. При нажатии на крестик привязка вашего аккаунта к Яндекс.Ключу будет удалена.

Внимание. Если вы удалите аккаунт, для которого включены одноразовые пароли, вы не сможете получить одноразовый пароль для входа в Яндекс. В этом случае потребуется восстановить доступ.

Отпечаток пальца вместо пин-кода

Вы можете использовать свой отпечаток пальца вместо пин-кода на следующих устройствах:

    смартфоны под управлением Android 6.0 и сканер отпечатков пальцев;

    iPhone от 5s;

    iPad от Air 2.

Примечание.

На смартфонах и планшетах iOS отпечаток пальца можно обойти, введя пароль устройства. Чтобы защититься от этого, включите главный пароль или измените пароль на более сложный: откройте приложение «Настройки» и выберите Touch ID и пароль.

Чтобы использовать активацию проверки отпечатка пальца:

Мастер-пароль

Чтобы еще больше защитить свои одноразовые пароли, создайте мастер-пароль: → Мастер-пароль.

  • Разработка для iOS,
  • Разработка мобильных приложений
  • Редкий пост в блоге Яндекса, особенно связанный с безопасностью, обходился без аутентификации. Мы долго думали, как правильно усилить защиту учетных записей пользователей, да еще чтобы ее можно было использовать без всех неудобств, которые включают самые распространенные сегодня реализации. И они, увы, неудобны. По некоторым данным, на многих крупных сайтах процент пользователей, включивших дополнительные средства аутентификации, не превышает 0,1%.

    Похоже, это связано с тем, что общая схема двухфакторной аутентификации слишком сложно и неудобно. Мы постарались придумать способ, который был бы более удобным без потери уровня защиты, и сегодня представляем его в бета-версии.

    Надеюсь, он получит более широкое распространение. Со своей стороны мы готовы работать над его усовершенствованием и последующей стандартизацией..

    После включения двухфакторной аутентификации в Паспорте вам потребуется установить приложение Яндекс.Ключ в App Store или Google Play. В форме авторизации на главной странице Яндекса появились QR-коды в Почте и Паспорте. Для входа в аккаунт нужно просканировать QR-код через приложение — и все. Если вы не можете прочитать QR-код, например, камера смартфона не работает или нет доступа в Интернет, приложение создаст одноразовый пароль, который будет действителен всего 30 секунд.

    Я вам скажу, почему мы решили не использовать такие «стандартные» механизмы, как RFC 6238 или RFC 4226. Как работают обычные схемы двухфакторной аутентификации? Они двухступенчатые. Первый этап — это обычная аутентификация по логину и паролю. В случае успеха сайт проверяет, нравится ли ему этот сеанс пользователя. И, если «не нравится», просит пользователя «повторно пройти аутентификацию». Существует два распространенных метода «предварительной аутентификации»: отправка SMS-сообщения на номер телефона, связанный с учетной записью, и создание второго пароля на смартфоне. По сути, TOTP в соответствии с RFC 6238 используется для генерации второго пароля. Если пользователь ввел второй пароль правильно, сеанс считается полностью аутентифицированным, а если нет, сеанс также теряет свою «предварительную» аутентификацию.

    Оба метода ─ отправка SMS и генерация пароля ─ доказательство. владения телефоном и, следовательно, являются фактором доступности. Пароль, введенный на первом этапе, является фактором знания. Поэтому эта схема аутентификации не только двухэтапная, но и двухфакторная.

    Что нам показалось проблемным в этой схеме?

    Начнем с того, что компьютер среднего пользователя не всегда можно назвать образцом безопасности: здесь и выключение обновлений windows, и пиратская копия антивируса без современных сигнатур, и софт сомнительного происхождения ─ все это не повышает уровень защиты. По нашей оценке, компрометация компьютера пользователя — самый распространенный метод «взлома» аккаунтов (и недавно он был), и мы хотим защитить себя в первую очередь от него. В случае двухэтапной аутентификации, если мы считаем, что компьютер пользователя скомпрометирован, ввод пароля на нем компрометирует сам пароль, что является первым фактором. Это означает, что злоумышленнику нужно выбрать только второй фактор. В случае распространенных реализаций RFC 6238 второй множитель составляет 6 десятичных цифр (а максимум, предусмотренный спецификацией, составляет 8 цифр). Согласно калькулятору bruteforce OTP, за три дня злоумышленник может уловить второй фактор, если он каким-то образом знает первый. Непонятно, какой сервис может противостоять этой атаке, не нарушая нормального взаимодействия с пользователем. Единственное возможное подтверждение работы — это капча, которая, на наш взгляд, является крайней мерой..

    Вторая проблема — это непрозрачность суждения службы о качестве сеанса пользователя и принятия решения о необходимости «предварительной аутентификации». Хуже того, сервис не заинтересован в том, чтобы сделать этот процесс прозрачным, потому что здесь действительно работает защита от неизвестности. Если злоумышленник знает, на основании чего служба принимает решение о легитимности сеанса, он может попытаться подделать эти данные. Исходя из общих соображений, мы можем заключить, что решение принимается на основе истории аутентификации пользователя с учетом IP-адреса (и полученного из него номера автономной системы, который идентифицирует поставщика и местоположение на основе геобазы) и данных браузера. например, заголовок User Agent и набор файлов cookie, flash lso и локальное хранилище html. Это означает, что если злоумышленник контролирует компьютер пользователя, то он имеет возможность не только украсть все необходимые данные, но и использовать IP-адрес жертвы. Более того, если решение будет принято на основе ASN, то любая аутентификация из общедоступного Wi-Fi в кофейне может привести к «отравлению» с точки зрения безопасности (и обелению с точки зрения обслуживания) провайдера этого кофейня и, например, побелка всех кофеен в городе … Мы говорили о работе, и ее можно применить, но времени между первым и вторым этапами аутентификации может быть недостаточно для уверенного суждения о аномалия. Кроме того, этот же аргумент разрушает представление о «доверенных» компьютерах: злоумышленник может украсть любую информацию, которая влияет на оценку доверия.

    Наконец, двухэтапная аутентификация просто неудобна: Наши исследования юзабилити показывают, что ничто так не раздражает пользователей, как промежуточный экран, дополнительные нажатия кнопок и другие «неважные» действия с его точки зрения.
    Исходя из этого, мы решили, что аутентификация должна быть одноэтапной, а пространство для паролей должно быть намного больше, чем это возможно в рамках «чистого» RFC 6238.
    В то же время мы хотели сохранить как можно больше двухфакторной аутентификации.

    Многофакторность аутентификации определяется назначением элементов аутентификации (фактически, они называются факторами) в одну из трех категорий:

    1. Факторы знаний (это традиционные пароли, пин-коды и все, что на них похоже);
    2. Факторы собственности (в используемых схемах одноразовых паролей, как как правило, это смартфон, но также может быть аппаратный токен);
    3. Биометрические факторы (отпечаток пальца сейчас самый распространенный, хотя кто-то вспомнит эпизод с героем Уэсли Снайпса в фильм Разрушитель).

    Разработка нашей системы

    Когда мы начали заниматься проблемой двухфакторной аутентификации (первые страницы корпоративной вики по этой проблеме относятся к 2012 году, но она обсуждалось за кулисами ранее), первая идея заключалась в том, чтобы взять стандартные методы аутентификации и применить их вместе с нами. Мы понимали, что нельзя ожидать, что миллионы наших пользователей купят аппаратный токен, поэтому этот вариант был отложен на некоторые экзотические случаи (хотя мы не отказываемся от него полностью, возможно, нам удастся придумать что-нибудь интересное). Метод с СМС тоже не получил широкого распространения: это очень ненадежный способ доставки (в самый ответственный момент СМС могут задерживаться или вообще не приходить), а отправка СМС стоит денег (и операторы стали увеличивать свою цену). Мы решили, что использование SMS — удел банков и других низкотехнологичных компаний, и хотим предложить нашим пользователям что-то более удобное. В общем, выбор был невелик: использовать смартфон и программу в нем как второй фактор.

    Эта форма одноэтапной аутентификации широко распространена: пользователь запоминает пин-код (первый фактор), имеет аппаратный или программный (в смартфоне) токен, который генерирует OTP (второй фактор). В поле пароля он вводит пин-код и текущее значение OTP.

    На наш взгляд, главный недостаток этой схемы тот же, что и у двухэтапной аутентификации: если предположить, что рабочий стол пользователя скомпрометирован, то однократное введение ПИН-кода приводит к его раскрытию и злоумышленнику. можно выбрать только второй фактор.

    Мы решили пойти другим путем: пароль полностью генерируется из секрета, но только часть секрета хранится в смартфоне, а часть вводится пользователь каждый раз, когда генерируется пароль. Таким образом, сам смартфон является фактором владения, а пароль остается в голове пользователя и является фактором знания.

    Nonce может быть либо счетчиком, либо текущим временем. Мы решили выбрать текущее время, это позволяет не бояться десинхронизации в случае, если кто-то сгенерирует слишком много паролей и увеличит счетчик.

    Итак, у нас есть программа для смартфона, в которой пользователь вводит свой часть секрета, она смешивается с сохраненной частью, результат используется как ключ HMAC, который подписывает текущее время, округленное до 30 секунд. Вывод HMAC сделан удобочитаемым, и вуаля — вот одноразовый пароль!

    Как уже упоминалось, RFC 4226 предлагает усечь вывод HMAC максимум до 8 десятичных цифр. Мы решили, что пароль такого размера не подходит для одноэтапной аутентификации и должен быть увеличен. В то же время мы хотели сохранить простоту использования (в конце концов, напомним, я хочу создать такую ​​систему, которую будут использовать обычные люди, а не только фанаты безопасности), поэтому в качестве компромисса в системе текущей версии мы выбрали обрезать до 8 символов латинского алфавита. Вроде бы 26 ^ 8 паролей, действующих в течение 30 секунд, вполне приемлемо, но если запас безопасности нас не устраивает (или на Хабре появляются ценные советы, как улучшить эту схему), то расширим, например, до 10 символов.

    Узнайте больше о надежности таких паролей

    Действительно, для латинских букв без учета регистра количество вариантов на знак равно 26, для прописных и строчных латинских букв плюс цифр число вариантов — 26 + 26 + 10 = 62. Тогда log 62 (26 10) ≈ 7.9 то есть пароль из 10 случайных маленьких латинских букв почти такой же надежный, как пароль из 8 случайных больших и маленьких латинских букв или цифр. Этого точно хватит на 30 секунд. Если говорить о 8-значном пароле, составленном из латинских букв, то его надежность составляет log 62 (26 8) ≈ 6.3, то есть немного больше, чем 6-значный пароль, составленный из больших, маленьких букв и цифр. Мы считаем, что это приемлемо для окна продолжительностью 30 секунд.

    Магия, отсутствие пароля, приложения и дальнейшие действия

    В общем, на этом можно было бы остановиться, но мы хотели сделать систему еще удобнее. Когда у человека в руке смартфон, он не хочет вводить пароль с клавиатуры!

    Итак, мы начали работу над «волшебным входом в систему». С помощью этого метода аутентификации пользователь запускает приложение на смартфоне, вводит в него свой PIN-код и сканирует QR-код на экране своего компьютера. Если ПИН-код введен правильно, страница в браузере перезагружается, и пользователь аутентифицируется. Magic!

    Как это работает?

    QR-код содержит номер сеанса, и когда приложение его сканирует, этот номер передается на сервер вместе с паролем и именем пользователя, созданным в обычным способом. Это несложно, ведь смартфон практически всегда в сети. В макете страницы, показывающей QR-код, JavaScript работает, ожидая со стороны сервера ответа для проверки пароля в этом сеансе. Если сервер отвечает, что пароль правильный, вместе с ответом устанавливается файл cookie сеанса, и пользователь считается аутентифицированным.

    Стало лучше, но и здесь мы решили не останавливаться. Начиная с iPhone 5S, на телефонах и планшетах Apple появился сканер отпечатков пальцев TouchID, а в iOS версии 8 с ним доступна работа и сторонних приложений … На самом деле приложение не получает доступ к отпечатку пальца, но если отпечаток верен, тогда приложению станет доступен дополнительный раздел Связки ключей. Мы воспользовались этим. Вторая часть секрета помещается в запись Keychain, защищенную TouchID, ту, которую пользователь ввел с клавиатуры в предыдущем скрипте. При разблокировке Связки ключей две части секрета смешиваются, а затем процесс работает, как описано выше.

    Но пользователю стало невероятно удобно: он открывает приложение, кладет палец на него, сканирует QR-код на экране и проходит аутентификацию в браузере на компьютере! Таким образом, мы заменили фактор знания биометрическим и, с точки зрения пользователя, полностью отказались от паролей. Мы уверены, что обычным людям такая схема будет намного удобнее, чем ручной ввод двух паролей.

    Можно спорить, насколько формально такая двухфакторная аутентификация, а на самом деле для успешного прохождения Вам все равно понадобится телефон и правильный отпечаток пальца, поэтому мы считаем, что нам полностью удалось отказаться от фактора знаний, заменив его биометрическими данными. Мы понимаем, что полагаемся на безопасность ARM TrustZone, лежащую в основе iOS Secure Enclave, и полагаем, что в настоящее время она пользуется доверием в рамках нашей модели угроз. Конечно, мы знаем о проблемах биометрической аутентификации: отпечаток пальца не является паролем и его нельзя заменить в случае взлома. Но, с другой стороны, всем известно, что безопасность обратно пропорциональна удобству, и пользователь сам вправе выбрать приемлемое соотношение одного к другому.

    Напомню, что это все еще бета. Теперь при включении двухфакторной аутентификации мы временно отключаем синхронизацию паролей в Яндекс.Браузере. Это связано с тем, как работает шифрование базы паролей. Мы уже придумываем удобный способ аутентификации браузера в случае 2FA. Все остальные функции Яндекса работают по-прежнему.

    Вот что у нас получилось. Вроде бы неплохо получилось, но судить вам. Мы будем рады услышать отзывы и рекомендации, а сами продолжим работать над повышением безопасности наших сервисов: теперь, наряду со всем остальным, у нас есть двухфакторная аутентификация. Помните, что службы аутентификации и приложения для создания одноразовых паролей имеют решающее значение и поэтому удваивают бонус Bug Bounty за обнаруженные в них ошибки.

    Теги:

    • безопасность
    • аутентификация
    • 2FA

    Добавить теги



    Как скрыть API-ключ переводчика в android

    Я использую яндекс и гугл-переводчик в своем приложении и, конечно, имею уникальный ключ API, но каждый может украсть его, декомпилировав мое приложение. Как я могу это скрыть?


    На вашем месте я арендую сервер (возможно, Amazon) и создам database и вставьте наш ключ api с простой зашифрованной строкой (хеш и т. д.).

      ID - Name - androidKey - key1 - GoogleAPI - AJKBSASHUA9 - yourAPIKey2 - YandexAPI -  5A6S5D6A53C - yourAPIKey ...  

    Затем вы можете создать службу , которая запускается вашим android packageName;

       http://example.com/API/getAPIKey/?packageName="yourPackageName"&androidKey="AJKBSASHUA9"

    И если вы используете POST метод, это безопасно для вас.


    Просто вы не можете сделать это внутри своего APK вообще или внутри приложения. Если кто-то захочет его получить, они его получат.

    • Вы собираетесь их расшифровать, я найду ключ внутри приложения.
    • Вы собираетесь разместить их в Интернете и получить после установки, я рутирую свой телефон и получу их.

    А зачем вы скрываете их в первую очередь, им назначается отпечаток SHA1 вашего хранилища ключей [Release | Debug] и имя вашего пакета, и никто не может получить ваше хранилище ключей выпуска и его пароль.


    Хотя вам не удастся достичь 150% безопасности, вы можете предпринять шаги в своем приложении, чтобы замедлить возможное нападающих вниз. Это приведет к тому, что некоторые из них откажутся от использования вашего приложения просто потому, что это не стоит затраченных усилий.

    Проект OWASP Mobile Security опубликовал свой сборник «Десять основных мобильных рисков» из что особенно интересно в вашем случае по темам «Сломанная криптография» и «Отсутствие защиты двоичных файлов». Хотя даже эта ссылка не дает вам простых инструкций, я думаю, что она может помочь вам оценить вашу ситуацию.

    Оцените статью
    clickpad.ru
    Добавить комментарий